Limitador por IP (Solucionado)
-
Si bien se ha comentado de esto anteriormente les indico que por falta de tiempo no habia colgado informacion de esto por ello aprovecho este hilo para indicar algunos detalles para aquellos que buscan tener manejo de ancho de banda de una manera mas directa y efectiva, ademas del envio de cache a full velocidad.
Si bien es cierto squid puede manejar ancho de banda por medio de delay_spool esto genera control de la velocidad de DESCARGA por clientes, grupos,etc. Todo en funcion de la direccion ip. Porque resalto DESCARGAS por que realmente solo puedes controlar velocidad de bajada mas no de subida en squid por medio de las clases delay.
Ahora bien recordar que queremos o deseamos enviar a full velocidad el contenido alojado en la cache del proxy esto es casi imposible si estamos usando el mismo proxy para delimitar ancho de banda y es donde cada uno se tranca tratando de lograrlo.La idea es tener a pfsense fuera de squid si hacen uso del proxy para cache y otras delimitaciones a clientes como bloqueos por renta vencida, bloqueo por tipos de usuarios, redirector para promociones, ofertas, avisos.
Ahora vamos a establecer un pequeño diagrama de como seria una topologia de red que pueda ofrecer la posibilidad de establecer primeramente planes de navegacion limitando subida y bajada, envio de cache a full velocidad bien sea por grupo de clientes o a toda la red de clientes. Ademas de proteccion de los servicios. Y seguridad 100 % anticlonaje y saltos en portal cautivo.
Ejemplo:
ADSL o conexion a internet–-------------> Pfsense ----------------------> DMZ para servidores
l l
l l
l l
Red de clientes ------------------ < > Red no clientes con portal cautivo promocionalBreve explicacion de las bondades de este tipo de topologia
DMZ
Al poseer una DMZ se delimita el area de los servicios o servidores creando asi la posibilidad de que se puedan establecer reglas claras de acceso a los mismo en cada una de las subredes existentes. Igualmente se tiene la posibilidad de trabajar con los NATs para establecer el acceso desde el exterior a los servicios sin posibilidad de enredar las reglas ya que no afectan a los clientes.
Red no clientes
Esta subred ofrece la posibilidad de dejar limitados completamente a este tipo de hosts clientes ya que en ello solo habilitaremos el acceso al portal un dns local restrigido y acceso a la web promocional del negocio pudiendo asi captar clientes inalambricos sin necesidad de arriesgar la seguridad de los clientes registrados. Evita el clonaje de mac para saltar el portal cautivo ya que si clonan alguna MAC sera igual de otro no cliente cosa que no es posible trabajando un portal cautivo dentro de la subred de clientes.
Red clientes
En esta manejaremos los usuarios realmente registrado pero no por ello tendran acceso a todo, aca se limita la forma como pueden conectarse estos clientes con reglas precisas de acceso a los servicios bien sea por clientes o grupos de clientes.
Se crearan todas las delimitaciones para que estos accesen a el DNS PROXY-CACHE Y SERVIDOR WEB ubicados en DMZ con la posibilidad de tener por medio de ALIASSES grupos de clientes que pueden poseer reglas de acceso muy distintas de otros.Bien delimitando esta topologia ahora vamos al caso de full velocidad cache y limitar ancho de banda tanto subida como bajada correctamente.
Pfsense lo usaremos con 4 TARJETAS DE RED que son las sub redes mencionadas anteriormente y este hara lo siguientes servicios. FIREWALL - ENRUTADOR, se puede configurar dns forwarder si no tenemos un dns local preferiblemente montar uno en DMZ, DHCP para amarrar MAC-IPS estableciendo ips fijas para clientes entregadas por DHCP. Estableciendo el tilde Deny unknown clients en zona de clientes para evitar que hosts no registrado puedan entrar un pequeño seguro mas que recuerden a nivel informatico nunca esta demas. Ademas y es el tema principal iremos al apartado FIREWALL/TRAFFICSHAPER en la pestaña LIMITER a fijar las velocidades necesarias para los diferentes planes a usar en los clientes definiendo bajada y subida bien sea en Kbps, Mbps, etc como prefieran. Recordar que si se establecera por ips o grupos de ips se debe colocar en el apartado MAC el numero 32 Yo he creado asi estos ejemplos de limiters
Plan 512
Subida_512 Bandwidth 200 Burst 250 Usando Kbit/s RECORDAR 255.255.255.255/ 32
Bajada_512 Bandwidth 512 Burst 700 Usando Kbit/s RECORDAR 255.255.255.255/ 32Ya con esto tenemos establecido un manejador de ancho de bandas para el plan 512 el cual podemos aplicar al grupo
Clientes_512 en el apartado IN/OUT de la regla como lo indican las pantallas al inicio de este POST
Realice usted sus limiters necesarios
Y por ultimo manejara portal cautivo exclusivo a usar en la subred de no clientes. Esto ayudara a optimizar pfsense y necesitar no mucho recursos para cubrir muchos clientes efectivamente.
Ahora bien como establecer la velocidad realmente y el envio de cache a full velocidad.
Si bien es cierto debes poseer en este tipo de topologia reglas de acceso a los servicios en la sub red de clientes, yo las he usado asi:
1 Acceso desde lan clientes a dmz (Servidor dns) No he colocado limitante en la velocidad para toda la subred . Esto para que a resolucion de nombres se haga a toda velocidad sin limitaciones.
2 Acceso desde lan de clientes a DMZ (Servidor web- Pagina local) No he colocado limitante en la velocida para toda la sub red.
3 Acceso desde lan clientes o cada grupos de clientes (ALIASSES) a DMZ (Servidor PROXY-SQUID) Aqui debes colocar las limitantes de velocidad que requieras normalmente tengo como comente varios grupos de clientes para los diferentes planes y clientes ilimitados.Bueno Espero poder aportar breves ideas sobre este tema y en general….......
De considerarlo asi el Maestro Bellera no tendria problema en modificar o elaborar de manera mas didactica estas breves descripciones para todo aquel que desee adaptarlas a su entornor y obterner asi un rendimiento optimo de sus redes de servicios....Estamos siempre a su orden....
Atte: Alfredo Goitia
Saludos!!!!
-
Muy buen apunte amnarl . para dar orden a las instalaciones.
-
@amnarl, me interesa mucho tu post, no lo cito porque es bastante extenso, ¿el pfSense administraría las dos subredes, y el dmz?, y en otro equipo físico si instala un servidor dns y un proxy cache, osea para lograr esto que dices se necesitarían dos equipos físicos no?, no se si mandarte un mensaje privado, pero bueno, sin la intención de desvirtuar el hilo expongo aquí.
Por ejemplo mi caso es un pfSense que balancea 3 adsl (ocupo 3 interfaces fisicas para eso) una lan (una interfaz física), para tener la dmz tendría que tener otra interfaz (ya sea vlan o no), y esta sería para conectar a otro equipo o dos, dependiendo, que sería un servidor dns y un proxy cache?, ¿es así?, disculpa que pregunte, pero es que me intereso muchísimo tu idea y la quiero aplicar, pero quiero que me quede claro primero :D
-
La idea general ZAC es que los servicios que provees para tus usuarios en las redes que tengas ( LAN, Wireless, HotSpot, etc) , se encuentren protegidos por el firewall de manera perimetral. Adicionalmente creo yo, cada servicio o servidor debera de estar protegido para aceptar solo las conexiones de los hosts o redes deseadas.
Saludos
-
Y eso como lo hago? :P
-
Saludos mi estimado zac son dos equipos fisicos….
Fijate tengo un Dual core de 2.7 doble nucleo con 8 Gb de ram en el cual tengo instalado windows a 64 Bits alli con virtualbox manejo tres maquinas virtuales dos Debian 64bits (Por ahora hasta unificar el cache) Uno de los debian hace los siguientes servicios (Web, dns con doble vista para resolver dominio en internet, y cache-proxy con un forks de thunder modificado para full cache de youtube),el otro debian hace un segundo dns local solamente y otro cache- proxy de pruebas. La otra maquina es ubuntu 64 bits el cual solo hace correo con zimbra.
Y otro equipito con un pentiun IV con 512 Mb de ram hace de pfsense haciendo su parte.
Tomar en cuenta que el equipo el cual hace de servidor de servidores virtuales si debe ser potente para sostener todo los servicios excelentemente. Como tambien claro esta que teniendo estos servicios montandos en un equipo servidor real con varios nucleos disponibles y mucha mas memoria, ademas de disco de alta transferencia para el cache daria mayor performance a toda la red de servicios.
Estamos a la orden
-
Aca una pequeña muestra del rendimiento que puede dar este tipo de estructura aca se reciben 10 mb de bajada y 700 kbps de subida con 35 clientes inscrito en el mismo esos son los resultados…
-
amnarl, Podria poner 2 maquinas ambas con pfsense para que hagan algo similar a lo q estas haciendo tu ??
-
saludos mi estimado DavidEc, algo como que una sea el firewall y la otra proxy?? a eso te refieres?? Si esto sip claro que podrias hacerlo sin problemas
-
perdon, pero de acuerdo a la discucion se debe poner la mascara en 32 para que de ahi se generen todas las demas en un limite estandar??
-